IPアドレス詐称対策に関する問題
【H25春秋SC午後1問2】
1.攻撃の検出について
【DNSの名前解決通信】
【キャッシュポイズニング攻撃(CP攻撃)】
- 応答パケットの送信元IPアドレスや宛先ポート番号を細工した攻撃により、大量のDNSパケットがFWにより通過を拒否された。
CP攻撃を成功しにくくする対策
⇒ 問合せPTの送信元ポート番号をランダムに変えること
根本的な対策は、公開鍵暗号によるディジタル署名の仕組みを応用したDNSSECというDNSセキュリティ拡張方式を導入することだが、鍵の管理などの運用手順が必要になる。
- C-DNSサーバには、
・上記のCP攻撃を成功しにくくする設定が行われている。
・再帰的な名前解決の問合せPTの送信元を限定する設定が行われている。
しかし、拒否される応答PTが多い状況のため、FW-AとC-DNSサーバを調査。
(1)送信元を詐称した問合せPT
- 送信元が外部メールサーバ、かつ、宛先がC-DNSサーバ、かつ、FW-Aが通過を許可した問合せPT。→ 10分に1個受信。
内容は、国内の取引先G社が取得したドメイン名のTXTレコードの問合せ。
⇒ 拒否しない設定にしている理由:送信元が外部メールサーバの場合、再帰的な名前解決を許可する必要があるから。
(2)DNSサーバに向けた応答PT
- (1)の問合せPTが届いた直後の1秒間に、送信元がG社のDNSサーバ、かつ、宛先がC-DNSサーバである応答PTが100個届き、FW-Aが通過を拒否した。
- 100個の応答PTの宛先ポート番号は、到着順に連番であった。
- 応答内容はG社のドメイン名のTXTレコードであった。
- TXTレオードには、SPFレコードが設定されていた。SPFレコードに設定されていたIPアドレスは、G社に割り当てられたものではなかった。
- C-DNSサーバが(1)の問合せPTの名前解決を行うための問合せPTは、インターネット上のDNSサーバに送信されてはいなかった。
この攻撃は偶然に成功する可能性があり、攻撃に続く攻撃として、
⇒ G社のドメイン名になりすましたメールを外部メールサーバに送信する
という、TXTレコードを利用する機能への攻撃が発生する。
(3)C-DNSサーバのキャッシュ
- C-DNSサーバのキャッシュには、G社のドメイン名のTXTレコードが保存されていた。
- TXTレコードには、SPFレコードが設定されており、G社に割り当てられたIPアドレスのうち、G社がメールを送信するサーバのIPアドレスが設定されていた。
2.支社システムの検討と導入
A社では、インターネット及びIP-VPNのトラフィック増加に対処するため、支社システムを導入することとした。
支社システムには、新たなFWを導入し、インターネット、新たなDMZ及び支社LANを接続することにした。
新たなDMZには、支社プロキシサーバを導入した。
支社プロキシサーバの名前解決に、C-DNSサーバを利用することと、FW-AとC-DNSサーバの設定の見直しを検討した。
検討の結果、送信元が支社プロキシサーバに詐称された問合せPTを拒否する設定は不可能であり、FW-AのIPアドレス詐称対策機能が有効に機能しないことがわかった。
再検討した結果、支社システムに機能を追加することで対応することにした。
この対策によって、支社プロキシサーバとC-DNSサーバ間の通信が不要になることも確認した。
送信元を支社プロキシサーバに詐称した問合せPTに対し、FW-AのIP
アドレス詐称対策機能が有効に機能しない理由
⇒ 支社プロキシサーバからの正規問い合わせPTと詐称された問い合わせPTとを識別できないから
支社システムに追加する機能
⇒ リゾルバ機能およびDNSキャッシュ機能(C-DNSサーバと同じ機能。前述あり)
05.